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Verfahren zur Sicherung des Datenaustauschs zwischen einer 
externen Zugriffseinheit und einem Feldgerat 



Die Erfindung bezieht sich auf ein Verfahren zur Sicherung der Daten- 
kommunikation via Weitverkehrs-Anwedemetze (WAN) und Lokale 
Anwendernetze (LAN), z.B. Internet zwischen zumindest einer externen 
Zugriffseinheit und einem Feldgerat zur Bestimmung bzw. Oberwachung 
zumindest einer physikalischen Oder chemischen ProzeBgrSBe bzw. zwischen 
zumindest einer entfernten Zugriffseinheit und einer zentralen Daten-erfassungs- 
/Steuereinheit zur Datenerfassung/Steuerung einer Vielzahl von Feldgeraten, 
welche zur Bestimmung bzw. Oberwachung von zumindest einer physikalischen 
Oder chemischen ProzeBgrdfie dienen. Bei der ProzeBgrdBe handelt es sich 
beispieisweise urn den Fullstand eines Mediums in einem Behalter, urn den 
Druck, die Temperatur, den DurchfluB, die Lertfahigkeit oderden pH-Wert eines 
Mediums. 

In der ProzeBleittechnik werden Oblicherweise eine Vielzahl von Feldgeraten zur 
Bestimmung einzelner ProzeBgroBen und zur Oberwachung der 
Verfahrensablaufe in einem ProzeB eingesetzt. Die Steuerung der Feldgerate und 
der Aktoren erfolgt (Iber eine zentrale Datenerfassungs-ZSteuereinheit bzw. Qber 
ein Leitsystem. Als Beispiel fQr eine zentrale DatenerfassungaVSteuereinheit sei 
an dieser Stelle eine Einheit genannt, die von der Firma Endress+Hauser unter 
der Bezeichnung 'Tank Side Monitor* vertrieben wird. Das Leitsystem ist Ober 
einen Datenbus mit den einzelnen Feldgeraten und Aktoren verbunden. Ober den 
Datenbus werden alle fQr die ProzeBsteuerung bzw. die ProzeBuberwachung 
notwendigen Daten zwischen dem Leitsystem und den einzelnen 
Feldgeraten/Aktoren ausgetauscht. Ein for industrielle Anwendungen vielfach 
eingesetzter Datenbus arbeitet beispieisweise nach dem HART-Standard. Als 
Feldbusse werden aber auch Profibus PA und Fieldbus Foundation FF eingesetzt. 

Neben derreinen MeBwertubertragung eriauben Feldgerate auch die Obertragung 
von verschiedenen im Feldgerat abgespeicherten Infbmiationen, wie z.B. 
Parameter-lnformationen (Nullpunkt, MeBwertspanne, etc.), MeB-kurven und 
MeBdaten und Diagnose-lnformationen. 
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Vor der Erst-lnbetriebnahme muB ein Feldgerat Oblicherweise konflguriert und 
parametriert werden. Die far die Konfigurierung und Parametrierung erforder- 
lichen Bedien- und Beobachtungsprogramme laufen meist auf Rechneretn-heiten 
(PCs, Laptops), die Qber eine serielle COM-Schnittstelle, Qblicherweise eine 
serielle Schnittstelle RS 232, mit einem an den Feldbus/Datenbus 
angeschlossenen Adapter verbunden sind. Auf dem Markt erhaltliche Bedien- und 
Beobachtungsprogramme werden beispielsweise von derAnmelderin unter der 
Bezeichnung CommuWin angeboten und verkauft. Ein we'rteres Bedten- und 
Beobachtungsprogramm wird von der Firma Endress+Hauser Wetzer unter der 
Bezeichnung ReadWin vertrieben. 

NaohteSlig bei den o. g. Bedien- und Beobachtungsprogrammen ist daft sie nur in 
unmittelbarer Nahe zum Datenbus/Feldbus eingesetzt werden kQnnen. Urn von 
jeder beliebig entfemten Stelle Zugriff auf das Feldgerat bzw. die 
Datenerfassungs-/Steuereinheit haben zu kdnnen, ist es darOber hinaus bereHs 
bekannt geworden, spezielle Anwendungsprogramme zu verwenden, die Qber 
eine Intemet-SchnHtstelle aufs Internet zugre'rfen und Qber entsprechende 
Gateways die Verbindung zu dem Feldbus bzw. dem Datenbus schaffen. Eine 
derartige Losung ist relattv teuer und daher fur eine breite Anwendung wenig 
geeignet 

Eine sehr vorteilhafte bekannt gewordene Ldsung schlagt vor, das Bedien- und 
Beobachtungsprogramm auf eine serielle Schnittstelle zugreifen zu lassen. In 
diesem Fall 'sieht das Bedien- und Beobachtungsprogramm nicht, ob die 
Verbindung zum Feldgerat Qber eine RS 232-Schn'rttstelle Oder Qber das WAN, 
LAN (z. B Internet) erfolgt. In einer ersten Ausgestaltung ist die Verbindung 
zwischen dem Bedien- und Beobachtungsprogramm und der Intemet-SchnHtstelle 
Qber eine erste COM-Schnittstelle, ein Nullmodem-Kabel und eine zweite COM- 
Schnittstelle realisiert. Alternativ kann die Verbindung zwischen dem Bedien- und 
Beobachtungsprogramm und der Internet-Schnittstelle Qber eine virtuelle serielle 
Schnittstelle erfolgen. Diese Ausgestaltung erfordert zwar einen hoheren 
Programmieraufwand als die an erster Stelle genannte Hardware-Losung. Ihr 
Pluspunkt ist jedoch, daB sie auch bei z. B. einem Laptop einsetzbar ist, der keine 
zwei physikalisch vorhandene serielle Schnittstellen hat 

Der Zugriff auf ein Feldgerat Qber das Internet birgt jedoch die Gefahr, daB 
Unberechtigte (Hacker) Manipulationen an dem Feldgerat bzw. an dem 



5DOCID: -.WO 0302354,/^., 



18/05/2006 15:22 +497621975888 



PATSERVE 



S. 05/13 



WO 03/023541 PCT/EP02/10186 

3 

Leitsystem vornehmen konnen, sobaid sie den Password-Schutz geknackt haben. 
Eine Losung, die diese Gefahr des manipulativen Eingriffs auf das Feldgerat bzw. 
die ProzeBanlage nicht effektiv reduziert oder vdllig eliminiert, ist fur den Betreiber 
eines Feldgerats bzw. der ProzeBanlage aus verstindlichen GrQnden 
indiskutabel. 

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren vorzuschlagen, das 
unerlaubte Zugriffe auf ein Feldgerat bzw. eine Datenerfassungs-/Steuer-einheit 
im Feld mit hoher Wahrscbeinlichkeit ausschlie&t 

Die Aufgabe wird dadurch gelost, dafc der Betreiber des Feldgerats bzw. der 
zentraien Datenerfassungs-/Steuereinheit der externen Zugriffseinheit gezielt 
Zugriffe auf das Feldgerat bzw. die zentrale Datenerfassungs-ZSteuereinheit 
einraumt. Vorzugsweise sind diese Zugriffe nur temporar eriaubt 

GemaB einer vorteilhaften Weiterbildung des erfindungsgema&en Veriahrens ist 
vorgesehen, daft verschiedene Varianten von Zugriffsberechtigungen vorgegeben 
sind; der Betreiber des Feldgerats bzw. der zentraien Daten-erfassungs- 
/Steuereinheit hat die Moglichkeit, unter den verschiedenen Varianten von 
Zugriffsberechtigungen auszuwShlen und gezielt an von ihm autorisierte Personen 
zu vergeben. Somit ist stets der von dem Betreiber autorisierte 
Sicherheitsstandard far Zugriffe auf das Feldgerat bzw. die Datenerfassungs- 
ZSteuereinheit gewahrleistet. 

Wetterhin wird vorgeschlagen, daft die jeweils autorisierte Zugriffsberechti-gung 
hardwaremaftig und/oder softwaremtftig vergeben wird. 

Beispielsweise werden Zugriffsberechtigungen zum Auslesen von Daten und/oder 
zum Konfigurieren und/oder Parametrieren eines Feldgerats vergeben. Ein 
uneingschrSnkter Zugriff auf das Feldgerat bzw. die Daten-erfassungs- 
/Steuereinheit kann beispielsweise bedenkenlos im Rahmen von Feldtests oder 
bei dem Oberprttfen eines Feldgerates durch das Service-personal gegeben sein. 
Das Auslesen von Daten wird beispielsweise eingeraumt im Rahmen des sog. 
Supply Chain Management. Beispielsweise hat ein Lieferant Zugriff auf ein 
Fullstandsme&gerat, das den FQIIstand eines von ihm zu liefemden FOIIguts in 
dem Behalter anzeigt. Oder es werden Emissionswerte an die Betreiber von 
Anlagen vermittelt und verkauft, deren Emissionswerte Qber den zulassigen 
Richtwerten liegen. 
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GemaB einer bevorzugten Ausgestaltung des erfindungsgemafien Verfahrens 
wird an dem Feldgerit bzw. der zentralen Datenerfassungs-/Steuereinheit von 
dem Betreiber des Fetdgerits bzw. des Feldbus - Adapter hardwaremaBig ein 
Betatigungselement aktiviert . Erst nachdem der Betreiber diesen 
Verfahrensschritt durchgefuhrt hat, ist es mdglich, von einer extemen 
Zugriffseinheit auf das Feldgerat bzw. den Feldbus - Adapter zuzugre'rfen. 

Urn eine zweifache Absicherung des Feldgerats im Hinblick auf Manipulationen zu 
erreichen, ist ein externer Zugriff auf das Feldgerat bzw. die zentrale 
Datenerfassungs-/Steuereinheit nur moglich, wenn Qber die Zugriffseinheit 
zusatzlich zu der hardwaremaBigen Entriegelung noch ein vereinbartes Password 
genannt wird. Weiterhin ist der Zugriff auf das Feldgerat von der entfernten 
Zugriffseinheit aus nur wahrend einer definierten Zeitspanne moglich, die 
beispielsweise mit der Aktivierung des zuvorge-nannten Betatigungselements 
gestartet wird. Es versteht sich von setbst, daS die doppelte Absicherung auch in 
umgekehrter Reihenfolge realisierbar ist 

Wie bereits gesagt, kann die externe Zugriffseinheit von dem Sevice-Personal 
bedient werden. Besonders vorteilhaft ist es jedoch, wenn auch einer 
KontrollbehSrde, beispielsweise dem Zoll, dem Finanzamt, einer EichbehBrde 
oder einer UmwettbehSrde der Zugriff auf das Feldgerat bzw. den Feldbus - 
Adapter ermoglicht wird. Hierbei handelt es sich quasi urn den Zugriff auf ein 
Feldgerat im offentlichen Interesse. Durch den Zugriff auf das Gerat Ober Internet 
von einer beliebigen Stelle aus wird die Anreise und die Anwesenheit eines 
Inspektors vor Ort eingespait Um Manipulationen des Betreibers an dem 
Feldgerat bzw. der Anlage auszuschliefien, kdnnen entsprechende 
SicherheitsmaBnahmen, z. B. ein elektronisches Verplomben des Feldgerats oder 
ein hardwaremaBiges Verplomben des Feldgerats vorgesehen sein. 
Beispielsweise wird eine unerlaubte Manipulation an einem verplombten Feldgerat 
der Behorde durch das Heraufsetzen elnes ZShlers angezeigt. 

Die Erfindung wird anhand der nachfolgenden Zeichnungen nSher eriautert. Es 
zeigt: 
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Fig. 1: eine schematische Darstellung eines Feldbusses mlt mehreren 
Feldgeraten, 

Fig. 2: eine schematische Darstellung einer Vorrichtung zur DurchfQhrung des 
erfindungsgemaOen Verfahrens und 

Fig. 3: ein FluSdiagramm zur Verdeutlichung des erfindungsgema&en Verfahrens. 



Die Figuren Fig. 1 und Fig. 2 zeigen schematisch die Komponenten einer Vor- 
richtung, die zur DurchfQhrung des erfindungsgema&en Verfahrens geeignet ist. In 
Fig. 1 ist ein bekannter Feldbus 1 mit mehreren angeschlossenen Feldgeraten 2, 
3, 4 dargestelft. Der Feldbus 1 arbeitet nach einem der bekannten inter-nationalen 
Standards, wie z.B. HART®, Profibus® Oder Foundation Fieldbus®. 
Die Feldgerate 2, 3, 4 sind Qber eine Datenbusleitung 5 mit einer Daten- 
erfassungs-/Steuereinhe'rt 6 bzw. einem Leitsystem verbunden. Der Feldbus- 
Adapter 7 ist via WAN, LAN (z. B. Internet) mit einer Rechnereinheit bzw. 
Zugriffseinheit 8 verbunden. Bei der Rechnereinheit 8 handett es sich 
beispielsweise urn einen Personal Computer (PC) oder urn einen tragbaren 
Laptop. 

Beispiele fur Feldgerate 2, 3, 4 sind z.B. Temperatur-Mefcgerate, die die 
Temperatur eines Prozefimediums erfassen, DurchfluO-MeBgerate, die den 
DurchfluB in einem Rohrieitungsabschnrtt erfassen oder FQIIstands-MeEgerSte, 
die den FQIlstand eines Fullgutes in einem Behalter bestimmen. 
Die MeEwerte werden Qber die Datenbusleitung 5 an das Leitsystem bzw. die 
Feldbus - Adapter 7 Qbertragen. Aufgrund der ernirttelten MeBwerte steuert das 
Leitsystem 6 den gesamten ProzeBablauf. 

Neben der reinen MefJwertObertragung erlauben intelligente Feldgerate (smart 
field devices) auch die Obertragung von verschiedenen im Feldgerat 
abgespeicherten Informationen. So lassen sich verschiedene Parameter vom 
Leitsystem 6 bzw. von der Rechnereinheit 8 aus aufarfen bzw. vefandem. 
Derartige Parameter sind z.B. der Nullpunkt, der MeBbereich (Spanne) oder die 
Einheit, in der die MeBwerte ausgegeben werden. 
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Sicherheitsievel bietet schon einen gewissen Schutz vor einem uneriaubten 
Zugtiff auf die Gerate 2, 3, 4, 7. 

Es 1st nicht auszuschliessen, dass nach der Betatigung des Schalters 14 mehrer 

Zugriffe auf die Gerate erfolgen, von denen ev. einer unberechtigt ist. Um deshalb 

unberechtigte Zugriffe auszuschliessen, wird nur der erste Zugriff bzw. nur eine 

Verbindung nach der Schalterbetatigung eriaubt, 

alle weiteren ZugriffeA/erbindungsversuche werden abgewiesen. 

Es ist davon auszugehen, dass der erste Zugriff nach der Schalterbetatigung 

berechtigt ist. Sollte jedoch der erste Zugriff unberechtigt sein, so wird dies vom 

berechtigten Zugreifer unm'rttelbar bemerkt, da er abgewiesen wird. In diesem Fall 

kann der Berechtigte sofort Gegenmassnahmen einleiten. 

Eine weiter Moglichkeit einer Zugriffsbereichtigung besteht darin, dass die exteme 
Zugriffseinheit (8) eine vorgegebene IP-Adresse aufweisen muss. Somit ist der 
Zugriff nur von einer oder mehreren ausgewahlten Zugriffseinheiten (8) moglich. 
Im Feldgerat 2, 3, 4 oder dem Feldbus-Adapter 7 ist eine TCP/IP-Schnittstelle 
vorgesehen auf die z.B. ein integrierter Webserver zugreift. Das nachfolgend 
beschriebene Verfahren basiert im wesentiichen auf der Netzwerkschicht (OSI 
Layer 3) der TCP/IP-Kommunikationssoftware. 

Das Internet Protokoll IP implementiert bei TCP/IP die Funktionen der Netzwerk- 
Schicht, es istz.B. fQrdie Adressierung, Pfadsuche und Segmentierung einzelner 
Datenpackete zustandig. Ein IP-Packet enthalt unteranderem die Adresse des 
Absenders und des Empfangers des Packetes, die Internet Source Address und 
Internet Destination Address. 

Ein spezielles Modul (folgend IP-Filter genannt) des Feldgerates/Feldbusr 
Adapters soli nun so konfiguriert werden, dass nur bestimmte Absendereine 
Antwort vom Feldgerat/Feldbus-Adapter emalten. Dazu werden die IP-Adressen 
der zugelassenen Absender z.B. in einer Tabelle abgespeichert. Die Eintrage der 
Tabelle mit den zugelassenen Absender-IP-Adressen kann von einem System- 
Administrator mit vollstandigen Zugriffsrechten editiert werden. Eine zusatzliche 
Sicherheit wQrde stch ergeben, wenn die Eintrage der Tabelle nur von einem 
System-Administrator Qber eine Service-Schnittstelle des Gerfites vor Ort 
vorgenommen werden konnen. Empfangt das Feldgerat Ober eine beliebige 
Schnittstelle ein IP-Packet, untersucht zunachst der IP-Filter die Absender- 
Adresse und vergleicht diese mit den Eintragen in der Tabelle mit den 
zugelassenen IP-Adressen. 1st die Absender Adresse in der Tabelle enthalten 
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wird das empfangene Packet weiterverarbeitet, 1st die Adresse unbekannt, wird 
das Packet weggeworfen. Som'rt haben nur noch dem Feldgerat bekannte, 
sogenannte vertrauenswQrdige Absender Zugriff, alle anderen erhaiten keine 
Antwort. 



Eine weitere Mdglichkeit einer Zugriffeberechtigung besteht darin, dass der 
Datenaustausch zwischen Zugriffseinheit (8) und einem Feldgerat (1, 2, 3, 4) bzw. 
dem Feldbus-Adapter (7) verschlOsselt erfolgt. In vorteilhafter Weise wird hierfOr 
das SSL-Verechlusselungsverfahren eingesetzt. 

In vorteilhafter Weise wird die IP-Adresse der Zugriffseinheit (8) abgespeichert. 
Dadurch ist eine spatere Identifizierung der Zugriffseinheit 8 moglich, von der aus 
der Zugriff auf ein Feldgerat (1, 2, 3. 4) bzw. den Feldbus-Adapter (7) erfolgte. 
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Patentansprflche 



1 . Verfahren zur Sichemng der Datenkommunikation via WAN, LAN zwlschen 
zumindest einer extemen ZugriffeeinheH (8) und einem Feldgerat (1; 2; 3; 4) zur 
Bestimmung bzw. Oberwachung zumindest einer physikalischen Oder chemischen 
ProzeBgrSBe bzw. zwischen zumindest einer entfemten Zugriffeeinhert (8) und 
einem Feldbus-Adapter (7) zur Datenerfassung/ Steuerung einer Vielzahl von 
Feldgeraten (1, 2, 3, 4), welche zur Bestimmung bzw. Oberwachung von 
zumindest einer physikalischen oder chemischen ProzeSgrdBe dienen, 
wobei der Betreiber des Feldgerats (1 ; 2; 3; 4) bzw. des Feldbus - Adapters der 
extemen Zugriffseinheit (8) gezielt Zugriffe auf sein Feldgerat (1; 2; 3; 4) bzw. 
seine Feldbus-Adapter (7) einraumt. 

-2. Verfahren nach Anspruch 1 , 

wobei verschiedene Varianten von Zugriffsberechtigungen vorgegeben sind und 
wobei der Betreiber des Feldgerats (1 ; 2; 3; 4) bzw. des Feldbus - Adapters (7) 
unter den verschiedenen Varianten von Zugriffsberechtigungen auswahlen kann, 
so daB der von dem Betreiber fur das Feldgerat (1 ; 2; 3; 4) oder die Feldbus- 
Adapter (7) gewunschte Sicherhertsstandard gewahrfeistet ist. 

3. Verfahren nach Anspruch 2, 

wobei die jeweilige Zugriffeberechtigung hardwaremaBig und/oder software-miBig 
vergeben wird. 

4. Verfahren nach Anspruch 2 oder 3, 

wobei die Zugriffsberechtigungen zum Auslesen von Daten und/oder zum 
Konfigurieren und/oder Parametrieren des Feldgerats (1; 2; 3; 4) bzw. der Vielzahl 
von Feldgeraten (1, 2, 3, 4) berechtigen. 



5. Verfahren nach Anspruch 1 , 

wobei an dem Feldgerat (1; 2; 3; 4) bzw. dem Feldbus - Adapter (7) von dem 
Betreiber des Feldgerats (1; 2; 3; 4) bzw. des Feldbus - Adapters (7) 
hardwarema&ig ein Betatigungselement (14) aktiviert wird, wodurch ein extemer 
Zugriff auf das Feldgerat (1; 2; 3; 4) bzw. die Feldbus-Adapter (7) mdglich wird. 
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6. Verfahren nach Anspruch 5, 

wobei ein extemer Zugriff auf das Feldgerat (1; 2; 3; 4) bzw. den Feldbus-Adapter 
(7) nur moglich ist, wenn Qber die externe Zugriffeeinheit (8) ein vereinbartes 
Password genannt wird. 

7. Verfahren nach Anspruch 5, 

wobei ein extemer Zugriff auf das Feldgerat (1; 2; 3; 4) bzw. den Feldbus-Adapter 
(7) nur moglich ist, wenn die externe Zugriffeeinheit (8) eine vorgegebene IP- 
Adresse besitzt. 

8. Verfahren nach Anspruch 5, 

wobei ein extemer Zugriff auf das Feldgerat (1; 2; 3; 4) bzw. den Feldbus-Adapter 
(7) nur meglich ist, wenn die externe Zugriffeeinheit (8) einen vorgegebenes 
VerschlQsselungsverfahren verwendet. 

9. Verfahren nach Anspruch 8, wobei als Verschlusselungs- 
/Authentrfizierongsverfahren das SSL-Verfahren elngesetzt wird. 

10. Verfahren nach einem Oder mehreren der vortiergehenden Anspruche, 
wobei die externe Zugriffeeinheit (8) von dem Sevice-Personal Oder von einer 
Kontrollbehorde bedient wird. 

11. Verfahren nach Anspruch 7, 

wobei es sich bei der Kontrollbehorde beispielsweise urn den Zoll, das Finanzamt 
Oder eine Umweltbehdrde handelt. 

12. Verfahren nach einem der vortiergehenden Anspruche, wobei die IP-Adresse 
der Zugriffeeinheit (8) abgespeichert wird. 
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